Şirketler yeni yükümlülüklerle karşı karşıya kalacak. Uyulmaması durumunda milyonlarca dolarlık para cezasıyla karşılaşılabilir.

• Hükümet, Ulusal Güvenlik Sistemi Yasası'nda (NSS) bir değişiklik önergesi kabul etti. Tasarı Meclis'e sunuldu.
• Yeni düzenlemeler 80.000'e kadar kuruluşu kapsayabilir. Mevcut sektör listesi, kanalizasyon bertarafı, posta hizmetleri, uzay ve kimyasallar ile gıda üretimi ve dağıtımı gibi yeni alanları da içerecek şekilde genişletildi.
• Bu düzenlemeler kapsamındaki kuruluşların bir dizi maliyetli ve emek yoğun çözümü uygulamaya koymaları gerekecektir.
• Yönetmelik ihlalleri çok ağır cezalarla cezalandırılacak. Kilit kuruluşlar için bu cezalar, 10 milyon avroya veya yıllık cironun %2'sine (hangisi daha yüksekse) kadar çıkabilecek ve asgari 20.000 PLN tutarında olacak.

Polonya'da siber güvenlik devrimi ivme kazanıyor. Bakanlar Kurulu, 21 Ekim 2025'te Ulusal Siber Güvenlik Sistemi Kanunu'nda AB NIS2 direktifini uygulayan bir değişikliği kabul etti.

Şimdi parlamentoya sunulacak olan yasa tasarısı, on binlerce şirketi, yerel yönetimi ve kamu kurumunu etkileyecek, eşi benzeri görülmemiş ölçekte değişiklikler getiriyor.

Yeni düzenlemeler 80.000'e kadar kuruluşu etkileyecek

En önemli değişiklik ise düzenleme kapsamına giren kuruluşların listesinin ciddi şekilde genişletilmesidir.

Değişiklik, temel hizmet operatörleri ve dijital hizmet sağlayıcılarının mevcut sınıflandırmasını iki yeni kategoriyle değiştiriyor: temel kuruluşlar ve önemli kuruluşlar. Yeni düzenlemelerin Polonya'da 40.000 ila 80.000 kuruluşu kapsayacağı tahmin ediliyor; bu, mevcut duruma kıyasla iki sıralık bir artış anlamına geliyor.

Temel kuruluşlar kategorisine enerji, ulaştırma, finans, sağlık ve dijital altyapı gibi ekonomi ve toplum için temel öneme sahip sektörlerdeki en büyük şirketler dahil ediliyor.

Sektör kataloğu yeni alanları da içerecek şekilde genişletildi: atık su bertarafı, posta hizmetleri, uzay, kimyasal ve gıda üretimi ve dağıtımı .

Özellikle yerel yönetimler ve bunların örgütsel birimleri de dahil olmak üzere tüm kamu yönetimi sektörünün kapsam altına alınması tartışmalıdır.

Bu, belediyeler tarafından işletilen okulların, sosyal yardım merkezlerinin ve kültür kurumlarının bile KSC gerekliliklerine uyması gerekeceği anlamına geliyor. Bu durum, bütçe açıkları ve personel sıkıntısıyla boğuşan birçok küçük yerel yönetim için önemli bir zorluk teşkil ediyor.

Temel ilke, NIS2 Direktifinin en azından orta ölçekli işletme olarak nitelendirilen, yani en az 50 kişi istihdam eden ve yıllık cirosu 10 milyon Avro'yu aşan işletmelere uygulanmasıdır.

Mikro ve küçük işletmeler, kritik kuruluş olarak belirlenmedikleri veya alan adı kaydı gibi belirli hizmetler sağlamadıkları sürece genellikle bu gerekliliklere tabi olmayacaktır.

Risk yönetim sistemleri, üç adımlı olay raporlama modeli

Değişiklik, bir dizi özel yükümlülük getirmektedir. Temel amaç, yalnızca dijital tehditleri değil, aynı zamanda fiziksel, insani ve çevresel tehditleri de dikkate alan, BT risk analizine dayalı, kurum içinde kapsamlı bir risk yönetim sisteminin uygulanmasıdır.

Kuruluşların düzenli olarak risk analizleri yapmaları ve sonuçlara göre uygun teknik ve örgütsel tedbirleri uygulamaları gerekecektir.

Asgari güvenlik önlemlerinin listesi erişim kontrol politikaları, şifreleme, olay yönetimi, iş sürekliliği (iş sürekliliği ve felaket kurtarma planları) ve tedarik zinciri güvenliğini içerir.

Kurumlar ayrıca olay müdahale prosedürlerini oluşturmalı ve yönetim de dahil olmak üzere çalışanlara düzenli eğitim vermelidir.

Üç aşamalı olay raporlama modeli özellikle zorludur. Ciddi bir olay tespit edildikten sonraki 24 saat içinde erken uyarı, 72 saat içinde ayrıntılı rapor ve bildirimden sonraki en geç bir ay içinde nihai rapor sunulmalıdır. Bu gereklilik, kuruluşların etkili bir olay tespit ve sınıflandırma sistemine sahip olmasını gerektirir.

Artık sadece BT departmanı değil. Sorumluluk, organizasyonun en üst seviyelerinde.

Önemli yeni bir unsur, siber güvenlikten yönetimin doğrudan sorumlu olmasıdır. Değişiklik, yönetim kurullarının ve yönetimin bilgi güvenliği ve finansal planlama konusunda stratejik kararlar almasını ve sorumlulukların uygulanmasını denetlemesini gerektirmektedir.

Bu bir paradigma değişimidir; siber güvenlik artık sadece BT departmanlarının tekelinde olan bir konu değil, yönetim kurulu düzeyinde stratejik bir öncelik haline geliyor.

Yöneticiler, mevzuat ihlallerinden dolayı kişisel olarak mali ve hukuki olarak sorumlu tutulacaklardır . Bu durum, kurumun en üst düzeylerindeki karar vericiler için riskleri önemli ölçüde artırmaktadır.

Sert yaptırımlar: Para cezaları on milyonlarca zlotiye ulaşabilir

Yasa, caydırıcı bir para cezası sistemi öngörmektedir. Kilit kuruluşlar için para cezaları, yıllık cironun %2'sine (hangisi yüksekse) veya 10 milyon avroya kadar çıkabilmekte ve asgari para cezası 20.000 PLN'dir. Önemli kuruluşlar için para cezaları, asgari para cezası 15.000 PLN olmak üzere 7 milyon avroya veya cironun %1,4'üne kadar çıkabilmektedir.

En ağır yaptırımlar, yüksek riskli tedarikçilerle ilgili yükümlülüklerin yerine getirilmemesi ve ihlalin ulusal güvenlik veya kamu düzeni için ciddi bir tehdit oluşturduğu durumlarda uygulanır. Siparişin yerine getirilmesinde gecikilen her gün için cezalar 50.000 ila 100.000 PLN arasında değişebilir.

Yeni yükümlülükler yüz binlerce zloti tutarında maliyet anlamına geliyor.

Yasanın gerekliliklerinin uygulanması önemli miktarda mali harcama gerektirmektedir. Orta ölçekli bir imalat şirketi için uygulamanın ilk aşaması (denetim, risk analizi, dokümantasyon) için tahminler on binlerce zlotiden yüz binlerce zlotiye kadar değişmektedir.

Teknolojinin uygulandığı bir sonraki aşama 150-300 bin PLN, ileri izleme (SIEM/SOC) için ise 200-500 bin PLN ve üzeri bir maliyet söz konusu .

Aynı derecede ciddi bir sorun da uzman eksikliğidir. Polonya Bilgi Teknolojileri ve Telekomünikasyon Odası'na göre, Polonya'da şu anda 10.000'den fazla siber güvenlik uzmanı eksikliği bulunmaktadır. Bu beceri açığı, Rusya'nın Ukrayna'ya yönelik saldırganlığının ardından daha da derinleşmiştir ve NIS2 direktifinin uygulanmasıyla talep hızla artacaktır.

Bu zorluklara yanıt olarak Dijital İşler Bakanlığı, Milli Savunma Bakanlığı ile birlikte, 2025 sonbaharında başlayan ulusal siber güvenlik sistemi içindeki kurumlar için eğitim programları başlattı. Eğitimler üç kategoriye ayrıldı: tüm çalışanlara yönelik (siber hijyen), yönetim kadrosu ve BT departmanlarına yönelik ve özel atölyeler.

Uyum sağlama zamanı harekete geçme zamanıdır

Değişiklik taslağı, yasa tasarısının kabulünden sonra altı aylık bir uyum süreci öngörüyor. Bu süreden önce hazırlık adımları atmazsak, bu süre hazırlık için çok kısa olacaktır.

Kurumlar bir ikilemle karşı karşıya: Ya nihai hukuki kesinlik olmamasına rağmen hemen harekete geçecekler ya da kanunun yayınlanmasını bekleyip, gerektiği gibi uygulanması için zaman bulamama riskini göze alacaklar.

Yönetmeliğin nihai şekli ne olursa olsun uygulanabilecek beş eylem bulunmaktadır:

1. siber güvenlik departmanının (dahili veya harici) organize edilmesi,
2. CSIRT dahil olmak üzere denetim makamlarıyla temaslardan sorumlu kişilerin belirlenmesi,
3. süreçlerin, donanım ve yazılımların ayrıntılı envanteri,
4. risk analizi yapmak ve öncelikleri belirlemek,
5. olay yönetimi sürecinin geliştirilmesi.

Özel bir durumdaki yerel yönetimler. Özel program

Kamu sektörü ve özellikle yerel yönetimler, belirli zorluklarla karşı karşıyadır. Yerel yönetim birimleri genellikle bütçe açıkları ve yerel siber güvenlik uzmanlarının eksikliğiyle mücadele etmektedir.

Yükümlülüklerin ölçeği GDPR'nin uygulanmasına benzerdir, ancak BT unsurlarına daha fazla vurgu yapılmaktadır.

Yerel yönetimlere destek olmak amacıyla hükümet, yerel yönetim birimlerine 1,5 milyar PLN tutarında kaynak sağlayan "Siber Güvenli Yerel Yönetim" programını başlattı. Bu tutarın 1,2 milyar PLN'si donanım ve yazılım altyapısına, 183 milyon PLN'si prosedür geliştirme, sertifikasyon ve denetimlere, 105 milyon PLN'si ise çalışan eğitimine ayrıldı.

Fonların 2026 yılı Haziran ayı sonuna kadar kullanılması gerekiyor.

Siber saldırılar artıyor ve bunların başında Polonya geliyor.

Polonya'da siber tehditlerin boyutu büyümeye devam ediyor. 2024 yılında 600.000'den fazla güvenlik olayı bildirildi; bu sayı bir önceki yıla göre %60 daha fazla.

Gerçek ihlallerin sayısı 100 bini aştı, bu da yüzde 23'lük bir artışı temsil ediyor.

Özellikle ciddi saldırılarda yüzde 57, kamu sektöründeki ihlallerde ise yüzde 58'lik artış dikkat çekiyor.

Polonya, başta Rusya olmak üzere yabancı devletler tarafından desteklenen APT grupları tarafından Avrupa'da en sık saldırıya uğrayan üçüncü ülkedir . Kritik altyapı ve kamu hizmetleri (ulaşım, enerji, su ve sağlık) en sık saldırıya uğrayanlardır.

Gelecek Sıfır Güven ve Yapay Zeka'da. Sadece bir gereklilik değil, bir zorunluluk.

Yeni düzenlemeler, önümüzdeki yıllarda Polonya siber güvenliğinin gelişimine yön verecek. Yapay zekâ kullanan güvenlik otomasyonu, gerçek zamanlı saldırı tespit ve önleme sistemlerinin geliştirilmesi, çok faktörlü kimlik doğrulamanın yaygın olarak benimsenmesi ve hiçbir kullanıcı veya cihaza doğrulama yapılmadan güvenilmemesi gerektiğini varsayan Sıfır Güven mimarisi, baskın trendler arasında yer alacak.

Ulusal Siber Güvenlik Sistemi Yasası yalnızca yasal bir zorunluluk değil, her şeyden önce kurumun 21. yüzyıl tehditlerine karşı dayanıklılığına yapılmış bir yatırımdır.

Dijital dönüşüm çağında siber güvenlik, güvenli ve sorumlu bir şekilde faaliyet göstermek isteyen her kuruluş için bir iş zorunluluğu ve stratejik bir önceliktir.